• Accueil
  • Solutions
    • SaaS Security Posture Management (SSPM)
    • Collaboration optimisée et sécurisée
    • Prévention des fuites de données sans agent (DLP)
    • Gestion continue des menaces dues aux codes tiers dans vos sites web
    • Protection prédictive (PRE-CRIME)
    • Sensibilisation à la Cybersécurité
    • CTEM - Digital Supply Chain & Attack Surface
    • Cyber Security Ratings
    • Breach & Attack Simulation
    • Multi Factor Autentication & Micro Segmentation
    • EDR (EndPoint Detection & Response)
    • DLP Poste de Travail
    • Gestion des accès privilégiés (PAM)
    • Sécurité de la messagerie
    • Chiffrement des données
    • Optimisation et sécurité du réseau
    • Aide au SOC
  • News
  • Contact
  • Plate-forme
    • Vue Générale
    • Intégrations
  • Cas d'usages
    • Gestion des erreurs de configuration
    • Analyse des intégrations tierces parties
    • Détection et réponse de sécurité SaaS
    • Exposition des données SaaS
  • Ressources
    • Blog
    • Documentations

Traduction depuis : The Top 3 SaaS Security Challenges | Suridata Resources

Haviv Ohayon - 13 avril 2023

Les 3 principaux défis de la sécurité SaaS

Les applications SaaS (Software-as-a-Service) présentent un certain nombre de défis de sécurité potentiellement graves. Les risques posés par le SaaS découlent d’une combinaison de facteurs. D’une part, le SaaS est populaire, la plupart des entreprises utilisant des dizaines, voire des centaines d’applications SaaS dans leurs opérations. La profondeur et l’étendue des déploiements SaaS les rendent difficiles à défendre.

Image Credits: Suridata

Le SaaS est un logiciel, mais ses paramètres de sécurité sont différents de ceux des logiciels traditionnels sur site. Une application SaaS est basée sur le cloud, avec des droits d’accès parfois flous. Les intégrations tierces peuvent également créer des vulnérabilités. De plus, la gouvernance des applications SaaS peut être inégale ou inexistante, en particulier lorsque le « shadow IT » prend le relais et que les unités commerciales achètent du SaaS pour elles-mêmes sans en informer le service informatique ou leurs partenaires en matière de cybersécurité. Cet article explore ces problèmes et aborde les trois principaux défis de sécurité SaaS : la gestion des accès, les erreurs de configuration et la conformité réglementaire.

1-Gestion des accès

La gestion des accès est un élément essentiel de tout programme de cybersécurité. En effet, la gestion de qui peut accéder à ce qui est un contrôle fondamental dans tous les principaux cadres de cybersécurité. Cependant, le SaaS introduit des défis inhabituels pour la gestion des accès. Les utilisateurs SaaS peuvent être n’importe où, sur presque n’importe quel appareil. Ils peuvent accéder à l’application SaaS, qui peut contenir des données sensibles, depuis l’extérieur du réseau de l’entreprise. Ces facteurs rendent impératif que les équipes de sécurité et les gestionnaires d’identité déterminent qui est qui et ce que chaque utilisateur est autorisé à faire sur l’application SaaS.

L’authentification de l’utilisateur, qui est la vérification de l’identité d’un utilisateur avant d’accorder l’accès, peut être difficile avec SaaS. Si un utilisateur tente de se connecter à une application SaaS, comment les propriétaires de système peuvent-ils être sûrs qu’il s’agit de l’utilisateur réel, plutôt que d’un attaquant usurpant l’identité de l’utilisateur ? L’authentification multi-facteur (MFA) est essentielle pour réduire le risque d’accès non autorisé. Une surveillance rigoureuse des identités est également une pratique judicieuse pour empêcher les acteurs malveillants d’accéder aux applications SaaS.

Les intégrations tierces créent un risque d’accès associé. Dans certains cas, les plug-ins qui connectent une application SaaS à une autre font du plug-in un « utilisateur » non surveillé de l’application. Si un attaquant prend le contrôle du plugin, ce qui peut se produire facilement lorsque les plugins ne sont pas gérés correctement par les développeurs, il peut accéder aux applications SaaS connectées.

Une fois qu’un utilisateur a accédé à une application SaaS, qu’est-il autorisé à faire ? C’est une question d’autorisation. La plupart des applications SaaS offrent plusieurs niveaux de privilèges d’accès. Plus l’utilisateur est âgé, plus les privilèges d’accès sont importants, en général. Un utilisateur exécutif peut être en mesure de voir toutes les données client, tandis qu’un commercial ne peut voir que ses comptes. Les utilisateurs administratifs peuvent avoir le droit de supprimer ou d’exporter des données, ce qui rend leurs comptes des cibles de prise de contrôle attrayantes pour les pirates.

La géographie est un autre aspect de la gestion des accès SaaS. C’est une bonne politique de restreindre les droits d’accès SaaS par pays ou région. Cela atténuera le risque de menaces externes dans une certaine mesure, car les pirates ont tendance à se trouver à l’extérieur du pays hébergeant l’application SaaS. Il peut également y avoir des problèmes de réglementation, avec un risque potentiel de conformité découlant du déplacement des données privées des consommateurs hors de leur pays d’origine.

2-Erreurs de configuration

Chaque application SaaS permet une configuration personnalisée étendue. C’est généralement un grand avantage. Les utilisateurs individuels peuvent configurer leurs applications SaaS comme ils le souhaitent. Les administrateurs peuvent adapter les applications SaaS aux cas d’utilisation et aux stratégies de l’entreprise. Cependant, l’étendue des options de configuration crée également un risque de sécurité.

Une partie du problème réside encore une fois, simplement l’ampleur du parc SaaS dans l’entreprise moyenne. Si une entreprise a déployé une centaine d’applications SaaS (qu’elle connaît), et que chaque application a des dizaines de « boutons » que les utilisateurs et les administrateurs peuvent basculer en fonction de leurs besoins de configuration spécifiques, le résultat est un environnement avec des milliers de configurations potentielles. N’importe lequel d’entre eux pourrait être peu sûr. La gestion manuelle n’est pas une option réaliste.

Par exemple, certains services de stockage SaaS activent l’accès universel aux fichiers par défaut. Cela signifie que pratiquement n’importe qui dans le monde peut accéder aux données sensibles d’une entreprise sur Internet, sans même que personne ne le sache. Si les utilisateurs ne sont pas conscients de ce paramètre par défaut problématique, le risque d’exfiltration de données suivra.

Une autre difficulté vient de la fréquence à laquelle les applications SaaS se mettent à jour. Bien que ce soit un grand avantage d’avoir une application qui met automatiquement de nouvelles fonctionnalités à la disposition des utilisateurs, c’est aussi un facteur de risque. Une mise à jour SaaS peut réinitialiser les configurations par défaut, par exemple. Il appartiendra ensuite aux utilisateurs et aux administrateurs de rétablir les configurations pour qu’elles correspondent aux stratégies de sécurité, une tâche qui est effectivement impossible à effectuer complètement sans automatisation.

3-Conformité règlementaire

Les applications SaaS peuvent exposer les entreprises à des risques de conformité réglementaire, qui ont une relation particulièrement synergique avec les risques de sécurité. Par exemple, une mauvaise gestion des contrôles d’accès basés sur les rôles (RBAC) peut entraîner des pannes des contrôles de « séparation des tâches » nécessaires à la conformité avec des lois comme la loi Sarbanes-Oxley. Plus précisément, un contrôle de séparation des tâches est censé faire des choses comme empêcher un seul utilisateur d’être en mesure d’approuver un bon de commande ainsi qu’un paiement à un fournisseur. Sans le contrôle, un utilisateur pourrait commettre une fraude. Si l’entreprise en question utilise un système de comptabilité basé sur SaaS, il incombera aux administrateurs SaaS de s’assurer que leurs privilèges d’accès couvrent la séparation des tâches dont ils ont besoin pour Sarbanes-Oxley, par exemple, l’utilisateur A est autorisé à accéder au module de bon de commande (PO) du logiciel, mais pas au module d’approbation de chèque. L’utilisateur B est autorisé à utiliser le module de vérification, mais pas celui des bons de commande. Ce n’est peut-être pas un gros problème, mais étant donné l’étendue des possibilités de configuration SaaS disponibles, c’est un contrôle facile à négliger.

Conclusion

Le SaaS peut se traduire par des problèmes de sécurité. Les domaines d’exposition aux risques comprennent la gestion des accès, la configuration et la conformité réglementaire. Les approches manuelles pour aborder ces trois domaines de défi sont inévitablement déficientes. Les solutions intelligentes et automatisées sont la meilleure approche. Avec les nouveaux outils de gestion de la sécurité SaaS, il est possible de maîtriser les risques d’accès, de configuration et de conformité, même dans les environnements SaaS les plus vastes et les plus polyvalents.

Réserver une démonstration